Bejelentkezés Microsoft-fiókkal
Jelentkezzen be, vagy hozzon létre egy fiókot.
Üdvözöljük!
Válasszon másik fiókot.
Több fiókja van
Válassza ki a bejelentkezéshez használni kívánt fiókot.

FONTOS A rendszeres havi frissítési folyamat részeként a 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítést kell alkalmaznia.

Ez a cikk azokra a szervezetekre vonatkozik, amelyek megkezdik a BlackLotus UEFI rendszerindítás által használt nyilvánosan közzétett biztonságos rendszerindítási megkerülés kockázatcsökkentéseinek kiértékelését. Emellett érdemes lehet proaktív biztonsági álláspontot használni, vagy felkészülni a bevezetésre. Vegye figyelembe, hogy ez a kártevő fizikai vagy rendszergazdai hozzáférést igényel az eszközhöz.

FIGYELEM Miután engedélyezte a probléma megoldását egy eszközön, ami azt jelenti, hogy alkalmazták a kockázatcsökkentéseket, nem állítható vissza, ha továbbra is a Biztonságos rendszerindítást használja az eszközön. Még a lemez újraformázása sem távolítja el a visszavonásokat, ha már alkalmazták őket. Kérjük, vegye figyelembe az összes lehetséges következményt, és alaposan tesztelje, mielőtt alkalmazza a cikkben ismertetett visszavonásokat az eszközére.

Ebben a cikkben

Összefoglalás

Ez a cikk a CVE-2023-24932 által nyomon követett BlackLotus UEFI-rendszerindítót használó, nyilvánosan közzétett Biztonságos rendszerindítási biztonsági funkció megkerülésével szembeni védelmet, a kockázatcsökkentések engedélyezését és a rendszerindító adathordozóra vonatkozó útmutatást ismerteti. A bootkit egy rosszindulatú program, amely úgy van kialakítva, hogy a lehető leghamarabb betöltse az eszközök rendszerindítási sorozatát az operációs rendszer indításának vezérléséhez.

A Biztonságos rendszerindítást a Microsoft javasolja, hogy biztonságos és megbízható útvonalat hozzon létre az egyesített bővíthető belső vezérlőprogram felületéről (UEFI) a Windows kernel megbízható rendszerindítási sorozatán keresztül. A Biztonságos rendszerindítás segít megelőzni a rendszerindítási kártevőt a rendszerindítási folyamatban. A Biztonságos rendszerindítás letiltása kockázatnak teszi ki az eszközt a bootkit kártevő által történő fertőzöttség szempontjából. A CVE-2023-24932-ben leírt biztonságos rendszerindítási megkerülés kijavításához vissza kell indítani a rendszerindítás-kezelőket. Ez problémákat okozhat egyes eszközindítási konfigurációk esetében.

A 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítések tartalmazzák a CVE-2023-24932-ben részletezett biztonságos rendszerindítási megkerülés elleni kockázatcsökkentéseket. Ezek a kockázatcsökkentések azonban alapértelmezés szerint nincsenek engedélyezve. Ezekkel a frissítésekkel azt javasoljuk, hogy kezdje el kiértékelni ezeket a változásokat a környezetében. A teljes ütemezést a Frissítések időzítése szakaszban ismertetjük.

A kockázatcsökkentések engedélyezése előtt alaposan tekintse át a cikkben található részleteket, és állapítsa meg, hogy engedélyeznie kell-e a kockázatcsökkentéseket, vagy várnia kell a Microsoft jövőbeli frissítésére. Ha úgy dönt, hogy engedélyezi a kockázatcsökkentéseket, ellenőriznie kell az eszközök frissítését és készenlétét, valamint ismernie kell az ebben a cikkben ismertetett kockázatokat. 

Művelet végrehajtása 

Ebben a kiadásban a következő lépéseket kell követni:

1. lépés: Telepítse a 2024. április 9-én vagy azt követően kiadott Windows biztonsági frissítést az összes támogatott verzióra.

2. lépés: Értékelje ki a módosításokat, és hogy azok hogyan befolyásolják a környezetet.

3. lépés: A módosítások kényszerítése.

Hatás hatóköre

A BlackLotus-rendszerindító minden olyan Windows-eszközt érint, amelyen engedélyezve van a biztonságos rendszerindítási védelem. A Windows támogatott verzióihoz kockázatcsökkentések érhetők el. A teljes listát lásd: CVE-2023-24932.

A kockázatok ismertetése

Kártevőkockázat: Ahhoz, hogy a cikkben leírt BlackLotus UEFI rendszerindítási támadás lehetséges legyen, a támadónak rendszergazdai jogosultságokat kell szereznie egy eszközön, vagy fizikai hozzáférést kell szereznie az eszközhöz. Ezt úgy teheti meg, hogy fizikailag vagy távolról éri el az eszközt, például hipervizort használ a virtuális gépek/felhő eléréséhez. A támadók gyakran használják ezt a biztonsági rést egy olyan eszköz felügyeletére, amelyhez már hozzáférnek, és amelyet esetleg manipulálhatnak. A cikkben ismertetett kockázatcsökkentések megelőző jellegűek, és nem korrekciós jellegűek. Ha az eszköz biztonsága már sérült, kérjen segítséget a biztonsági szolgáltatótól.

Helyreállítási adathordozó: Ha a kockázatcsökkentések alkalmazása után problémába ütközik az eszközzel, és az eszköz nem indul el, előfordulhat, hogy nem tudja elindítani vagy helyreállítani az eszközt a meglévő adathordozóról. A helyreállítási vagy telepítési adathordozót frissíteni kell, hogy működjön egy olyan eszközzel, amely alkalmazza a kockázatcsökkentéseket.

Belső vezérlőprogrammal kapcsolatos problémák: Amikor a Windows alkalmazza a cikkben ismertetett kockázatcsökkentéseket, az eszköz UEFI belső vezérlőprogramjára kell támaszkodnia a biztonságos rendszerindítási értékek frissítéséhez (a frissítések az adatbáziskulcsra (DB) és a tiltott aláírási kulcsra (DBX) vonatkoznak). Bizonyos esetekben tapasztalatunk van olyan eszközökkel kapcsolatban, amelyek nem frissítik a frissítéseket. Az eszközgyártókkal együttműködve a lehető legtöbb eszközön teszteljük ezeket a legfontosabb frissítéseket.

MEGJEGYZÉS Először tesztelje ezeket a kockázatcsökkentéseket eszközosztályonként egyetlen eszközön a környezetében a lehetséges belsővezérlőprogram-problémák észlelése érdekében. A környezet összes eszközosztályának kiértékelése előtt ne telepítse széles körben.

BitLocker-helyreállítás: Egyes eszközök a BitLocker helyreállításába kerülhetnek. A kockázatcsökkentések engedélyezése előtt mindenképpen őrizze meg a BitLocker helyreállítási kulcs másolatát.

Ismert problémák

Belső vezérlőprogrammal kapcsolatos problémák:Nem minden eszköz belső vezérlőprogramja frissíti sikeresen a biztonságos rendszerindítási adatbázist vagy a DBX-et. Azokban az esetekben, amelyekről tudunk, jelentettük a problémát az eszköz gyártójának. A naplózott események részleteiért lásd : KB5016061: Secure Boot DB és DBX változófrissítési események . Kérje a belső vezérlőprogram frissítését az eszköz gyártójától. Ha az eszköz nem támogatott, a Microsoft javasolja az eszköz frissítését.

Ismert belsővezérlőprogram-problémák:

MEGJEGYZÉS Az alábbi ismert problémák nincsenek hatással a 2024. április 9-i frissítések telepítésére, és nem akadályozzák meg. A legtöbb esetben a kockázatcsökkentések nem alkalmazhatók, ha ismert problémák léteznek. Tekintse meg az ismert problémák részleteit.

  • HP: A HP problémát észlelt a HP Z4G4 munkaállomások telepítésével kapcsolatban, és az elkövetkező hetekben kiad egy frissített Z4G4 UEFI belső vezérlőprogramot (BIOS). A kockázatcsökkentés sikeres telepítése érdekében az asztali munkaállomásokon le lesz tiltva, amíg a frissítés elérhetővé nem válik. A kockázatcsökkentés alkalmazása előtt az ügyfeleknek mindig frissítenie kell a legújabb rendszer BIOS-ra.

  • Biztos indítási biztonsággal rendelkező HP-eszközök: Ezeknek az eszközöknek a HP legújabb belsővezérlőprogram-frissítéseire van szükségük a kockázatcsökkentések telepítéséhez. A kockázatcsökkentések a belső vezérlőprogram frissítéséig le lesznek tiltva. Telepítse a legújabb belsővezérlőprogram-frissítést a HP-k támogatási oldaláról – Hivatalos HP-illesztőprogramok és szoftverletöltés | HP-támogatás.

  • Arm64-alapú eszközök: A kockázatcsökkentéseket a Qualcomm-alapú eszközök ismert UEFI belső vezérlőprogramjával kapcsolatos problémák blokkolják. A Microsoft a Qualcomm segítségével dolgozik a probléma megoldásán. A Qualcomm biztosítja a javítást az eszközgyártóknak. Forduljon az eszköz gyártójához, és állapítsa meg, hogy elérhető-e a probléma megoldása. A Microsoft észlelést ad hozzá, hogy lehetővé tegye a kockázatcsökkentések alkalmazását az eszközökön a rögzített belső vezérlőprogram észlelése esetén. Ha az Arm64-alapú eszköz nem rendelkezik Qualcomm belső vezérlőprogrammal, konfigurálja a következő beállításkulcsot a kockázatcsökkentés engedélyezéséhez.

    Beállításjegyzék alkulcsa

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot

    Kulcsérték neve

    SkipDeviceCheck

    Adattípus

    REG_DWORD

    Adat

    1

  • Apple:Az Apple T2 Security Chippel rendelkező Mac számítógépek támogatják a biztonságos rendszerindítást. Az UEFI biztonsági változóinak frissítése azonban csak a macOS-frissítések részeként érhető el. A Boot Camp felhasználóinak a Windowsban az 1795-ös eseményazonosítójú eseménynapló-bejegyzést kell látniuk ezekhez a változókhoz kapcsolódóan. További információ erről a naplóbejegyzésről: KB5016061: Secure Boot DB és DBX változófrissítési események.

  • Vmware:VMware-alapú virtualizálási környezetekben a biztonságos rendszerindítást engedélyező x86-alapú processzort használó virtuális gépek indítása sikertelen lesz a kockázatcsökkentések alkalmazása után. A Microsoft együttműködik a VMware-lel a probléma megoldása érdekében.

  • TPM 2.0-alapú rendszerek:  Azok a rendszerek, amelyek Windows Server 2012 és Windows Server 2012 R2-t futtatnak, nem tudják üzembe helyezni a 2024. április 9-i biztonsági frissítésben kiadott kockázatcsökkentéseket a TPM-mérésekkel kapcsolatos ismert kompatibilitási problémák miatt. A 2024. április 9-i biztonsági frissítések blokkolják a 2. (rendszerindítás-kezelő) és a 3. (DBX-frissítés) kockázatcsökkentést az érintett rendszereken.

    A Microsoft tud a problémáról, és a jövőben kiadunk egy frissítést a TPM 2.0-alapú rendszerek blokkolásának feloldásához.

    A TPM verziójának ellenőrzéséhez kattintson a jobb gombbal a Start gombra, kattintson a Futtatás parancsra, majd írja be a tpm.msc parancsot. A középső panel jobb alsó részén, a TPM gyártói információi alatt a Specifikáció verziója értéknek kell megjelennie.

  • Symantec Endpoint Encryption: A biztonságos rendszerindítási kockázatcsökkentések nem alkalmazhatók a Symantec Endpoint Encryptiont telepítő rendszerekre. A Microsoft és a Symantec tisztában van a problémával, és a jövőbeli frissítésben meg fogjuk oldani.

Útmutató ehhez a kiadáshoz

Ebben a kiadásban kövesse ezt a két lépést.

1. lépés: A Windows biztonsági frissítés

telepítése Telepítse a 2024. április 9-én vagy azt követően kiadott Windows havi biztonsági frissítést a támogatott Windows-eszközökön. Ezek a frissítések tartalmazzák a CVE-2023-24932 megoldásait, de alapértelmezés szerint nincsenek engedélyezve. Minden Windows-eszköznek el kell végeznie ezt a lépést, függetlenül attól, hogy tervezi-e a kockázatcsökkentések üzembe helyezését.

2. lépés: A módosítások

kiértékelése Javasoljuk, hogy tegye a következőket:

  • Ismerje meg az első két kockázatcsökkentést, amelyek lehetővé teszik a biztonságos rendszerindítási adatbázis frissítését és a rendszerindítás-kezelő frissítését.

  • Tekintse át a frissített ütemezést.

  • Kezdje el tesztelni az első két kockázatcsökkentést a környezet reprezentatív eszközein.

  • Az üzembe helyezési fázis tervezésének megkezdése 2024. július 9-én.

3. lépés: A módosítások kényszerítése

Javasoljuk, hogy ismerje meg a Kockázatok ismertetése szakaszban szereplő kockázatokat.

  • Ismerje meg a helyreállításra és más rendszerindító adathordozókra gyakorolt hatást.

  • Kezdje el tesztelni a harmadik kockázatcsökkentést, amely nem megbízható az összes korábbi Windows rendszerindítás-kezelőhöz használt aláíró tanúsítványban.

Hibaelhárítási üzembehelyezési irányelvek

Mielőtt követené a kockázatcsökkentések alkalmazásának lépéseit, telepítse a Windows 2024. április 9-én vagy azt követően kiadott havi karbantartási frissítését a támogatott Windows-eszközökön. Ez a frissítés tartalmazza a CVE-2023-24932 megoldásait, de alapértelmezés szerint nincsenek engedélyezve. A megoldás engedélyezésének tervétől függetlenül minden Windows-eszköznek végre kell hajtania ezt a lépést.

MEGJEGYZÉS Ha a BitLockert használja, győződjön meg arról, hogy a BitLocker helyreállítási kulcsról biztonsági mentés készült. Futtassa a következő parancsot egy rendszergazdai parancssorból, és jegyezze fel a 48 számjegyű numerikus jelszót:

manage-bde -protectors -get %systemdrive%

A frissítés üzembe helyezéséhez és a visszavonások alkalmazásához kövesse az alábbi lépéseket:

  1. Telepítse a frissített tanúsítványdefiníciókat az adatbázisba.

    Ez a lépés hozzáadja a "Windows UEFI CA 2023" tanúsítványt az UEFI "Secure Boot Signature Database" (DB) adatbázishoz. Ha hozzáadja ezt a tanúsítványt az adatbázishoz, az eszköz belső vezérlőprogramja megbízik a tanúsítvány által aláírt rendszerindító alkalmazásokban.

    1. Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot az adatbázisra való frissítés végrehajtásához a következő paranccsal:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

      FONTOS Mielőtt továbblép a 2. és 3. lépésre, mindenképpen indítsa újra az eszközt kétszer a frissítés telepítésének befejezéséhez.

    2. Futtassa a következő PowerShell-parancsot rendszergazdaként, és ellenőrizze, hogy az adatbázis frissítése sikeresen megtörtént-e. Ennek a parancsnak Igaz értéket kell visszaadnia.

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  2. Frissítse a Rendszerindítás-kezelőt az eszközön.

    Ez a lépés egy rendszerindítás-kezelő alkalmazást telepít az eszközre, amely a "Windows UEFI CA 2023" tanúsítvánnyal van aláírva.

    1. Nyisson meg egy rendszergazdai parancssort, és állítsa be a beállításkulcsot a "'Windows UEFI CA 2023" aláírt rendszerindítás-kezelő telepítéséhez:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

    2. Indítsa újra az eszközt kétszer.

    3. Rendszergazdaként csatlakoztassa az EFI-partíciót, hogy készen álljon a vizsgálatra:

      mountvol s: /s

    4. Ellenőrizze, hogy az "s:\efi\microsoft\boot\bootmgfw.efi" fájl alá van-e írva a "Windows UEFI CA 2023" tanúsítvánnyal. Ehhez kövesse a következő lépéseket:

      1. Kattintson a Start gombra, írja be a parancssor kifejezést a Keresés mezőbe, majd kattintson a Parancssor parancsra.

      2. A Parancssor ablakban írja be a következő parancsot, majd nyomja le az Enter billentyűt:

        copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

      3. A Fájlkezelőben kattintson a jobb gombbal a C:\bootmgfw_2023.efi fájlra, kattintson a Tulajdonságok elemre, majd válassza a Digitális aláírások lapot.

      4. Az Aláírás listában ellenőrizze, hogy a tanúsítványlánc tartalmazza-e a Windows UEFI CA 2023-at. A tanúsítványláncnak a következő képernyőképen kell megegyeznie:

        Tanúsítványok

  3. Engedélyezze a visszavonást.

    Az UEFI Tiltott lista (DBX) a nem megbízható UEFI-modulok betöltésének letiltására szolgál. Ebben a lépésben a DBX frissítése hozzáadja a "Windows Production CA 2011" tanúsítványt a DBX-hez. Ez azt eredményezi, hogy a tanúsítvány által aláírt rendszerindítás-kezelők nem lesznek megbízhatók.

    FIGYELMEZTETÉS: A harmadik kockázatcsökkentés alkalmazása előtt hozzon létre egy helyreállítási flash meghajtót, amely a rendszer elindításához használható. Ennek módjáról a Windows telepítési adathordozójának frissítése című szakaszban talál további információt.

    Ha a rendszer nem indítható állapotba kerül, a Helyreállítási eljárás szakasz lépéseit követve állítsa vissza az eszközt a visszavonás előtti állapotba.

    1. Adja hozzá a "Windows Production PCA 2011" tanúsítványt a Secure Boot UEFI Forbidden List (DBX) listához. Ehhez nyisson meg egy parancssori ablakot rendszergazdaként, írja be a következő parancsot, majd nyomja le az Enter billentyűt:

      reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    2. Indítsa újra az eszközt kétszer , és győződjön meg arról, hogy teljesen újraindult.

    3. A telepítési és visszavonási lista sikeres alkalmazásának ellenőrzéséhez keresse meg a 1037-et az eseménynaplóban.

      További információ az 1037-s eseményről: KB5016061: Secure Boot DB és DBX változófrissítési események. Vagy futtassa a következő PowerShell-parancsot rendszergazdaként, és győződjön meg arról, hogy igaz értéket ad vissza:

      [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Rendszerindító adathordozó

Fontos lesz frissíteni a rendszerindító adathordozót, miután az üzembehelyezési fázis elkezdődött a környezetben. Az adathordozó frissítésére vonatkozó útmutatást és eszközöket az üzembe helyezési fázishoz időben biztosítjuk. Az üzembehelyezési fázis a tervek szerint 2024. július 9-én kezdődik.

Példák a probléma által érintett rendszerindító adathordozóra és helyreállítási adathordozóra:

  • A helyreállítási meghajtó létrehozásával létrehozott rendszerindító adathordozó.

  • A windowsos biztonsági másolatok, amelyek a kockázatcsökkentés alkalmazása előtt lettek rendszerképen. Ezek nem lesznek közvetlenül felhasználhatók a Windows-telepítés visszaállítására, miután a visszavonások engedélyezve lettek az eszközön.

  • Egyéni CD/DVD vagy helyreállítási partíció, amelyet Ön, az eszköz gyártója (OEM) vagy nagyvállalatok hoztak létre.

  • ISO (letöltéssel vagy az ADK használatával).

  • Hálózati rendszerindítás:

    • Központi Windows-telepítési szolgáltatások.

    • Végrehajtási környezet előzetes rendszerindítási szolgáltatásai (PXE rendszerindítási szolgáltatások).

    • Microsoft Deployment Toolkit.

    • HTTPS-rendszerindítás.

  • OEM telepítési és helyreállítási adathordozó.

  • Hivatalos Windows-média a Microsofttól, beleértve a következőket:

  • Windows PE.

  • Fizikai hardverre vagy virtuális gépekre telepített Windows.

  • Windows érvényesítési operációs rendszer.

Ha rendszerindító adathordozót használ egy személyes Windows-eszközzel, előfordulhat, hogy a visszavonások alkalmazása előtt az alábbiak közül egyet vagy többet kell tennie:

  • Ha személyes biztonsági mentési szoftvert használ az eszköz tartalmának mentéséhez, a 2024. április 9-i kockázatcsökkentések alkalmazása után mindenképpen futtasson teljes biztonsági másolatot.

  • Ha rendszerindító lemezképet (ISO), CD-ROM-ot vagy DVD-adathordozót használ, frissítse az adathordozót a későbbi időpontban megjelenő utasítások szerint.

Enterprise

  • Tekintse meg a Windows telepítési adathordozójának dinamikus frissítéssel történő frissítésére vonatkozó átfogó irányelveket és parancsfájlokat.

  • Ha támogatja a hálózati rendszerindítási vagy helyreállítási forgatókönyveket a környezetben, frissítenie kell az összes adathordozót és lemezképet. Ez a következő rendszerindítási vagy helyreállítási lehetőségeket tartalmazhatja:

    • Microsoft Deployment Toolkit.

    • Microsoft Endpoint Configuration Manager.

    • Központi Windows-telepítési szolgáltatások.

    • PxE-rendszerindítás.

    • HTTPS-rendszerindítási és egyéb hálózati rendszerindítási forgatókönyvek.

  • Ennek egyik módja a DISM offline csomagtelepítés használata az ilyen forgatókönyvek által kiszolgált rendszerképeken. Ez magában foglalja a szolgáltatások által kínált rendszerindító fájlok frissítését.

  • Ha biztonsági mentési szoftverrel menti a Windows-telepítés tartalmát egy helyreállítási lemezképbe, a 2024. április 9-i kockázatcsökkentések alkalmazása után mindenképpen futtasson teljes biztonsági másolatot. Győződjön meg arról, hogy a Windows operációs rendszer partíciója mellett biztonsági másolatot is készít az EFI-lemezpartícióról. Egyértelműen azonosítsa a 2024. április 9-i kockázatcsökkentések alkalmazása előtt készített biztonsági másolatokat a kockázatcsökkentések alkalmazása után készített biztonsági másolatokkal szemben.

Windows rendszerű számítógép számítógép-gépei

Windows telepítési adathordozó frissítése

MEGJEGYZÉS Rendszerindító flash meghajtó létrehozásakor mindenképpen formázza a meghajtót a FAT32 fájlrendszer használatával.

A Helyreállítási meghajtó létrehozása alkalmazást az alábbi lépésekkel használhatja. Ezzel az adathordozóval újratelepíthet egy eszközt, ha nagyobb probléma, például hardverhiba történik, a helyreállítási meghajtóval újratelepítheti a Windowst.

  1. Nyissa meg azt az eszközt, amelyen a 2024. április 9-i frissítések és az első kockázatcsökkentési lépés (a biztonságos rendszerindítási adatbázis frissítése) alkalmazva lett.

  2. A Start menüben keresse meg a "Helyreállítási meghajtó létrehozása" vezérlőpult kisalkalmazást, és kövesse az utasításokat a helyreállítási meghajtó létrehozásához.

  3. Az újonnan létrehozott flash meghajtó csatlakoztatásával (például "D:" meghajtóként) futtassa a következő parancsokat rendszergazdaként. Írja be az alábbi parancsok mindegyikét, majd nyomja le az Enter billentyűt:

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ha a környezetében a Telepíthető adathordozó frissítése dinamikus frissítéssel című útmutató segítségével kezeli a telepíthető adathordozót, kövesse az alábbi lépéseket. Ezek a további lépések létrehoznak egy rendszerindító flash meghajtót, amely a "Windows UEFI CA 2023" aláíró tanúsítvány által aláírt rendszerindító fájlokat használja.

  1. Nyissa meg azt az eszközt, amelyen a 2024. április 9-i frissítések és az első kockázatcsökkentési lépés (a biztonságos rendszerindítási adatbázis frissítése) alkalmazva lett.

  2. A 2024. április 9-i frissítéseket tartalmazó adathordozó létrehozásához kövesse az alábbi hivatkozás lépéseit. Windows telepítési adathordozó frissítése dinamikus frissítéssel

  3. Helyezze az adathordozó tartalmát egy USB-meghajtóra, és csatlakoztassa az ujjlenyomatot meghajtóbetűjelként. Csatlakoztassa például az ujjlenyomat-meghajtót "D:" néven.

  4. Futtassa a következő parancsokat egy parancsablakból rendszergazdaként. Írja be az alábbi parancsokat, majd nyomja le az Enter billentyűt.

    COPY D:\EFI\MICROSOFT\BOOT\BCD D:\EFI\MICROSOFT\BOOT\BCD.BAK

    bcdboot c:\windows /f UEFI /s D: /bootex

    COPY D:\EFI\MICROSOFT\BOOT\BCD.BAK D:\EFI\MICROSOFT\BOOT\BCD

Ha egy eszköz biztonsági rendszerindítási beállításai a kockázatcsökkentések alkalmazása után az alapértelmezett értékre állíthatók vissza, az eszköz nem indul el. A probléma megoldásához a javítóalkalmazás szerepel a 2024. április 9-i frissítésekben, amelyek a "Windows UEFI CA 2023" tanúsítvány adatbázisra való újbóli alkalmazásához használhatók (1. kockázatcsökkentés).

MEGJEGYZÉS Ne használja ezt a javítóalkalmazást olyan eszközön vagy rendszeren, amelyről az Ismert problémák szakaszban olvashat.

  1. Nyissa meg azt az eszközt, amelyen a 2024. április 9-i frissítéseket alkalmazták.

  2. Egy parancsablakban másolja a helyreállítási alkalmazást a flash meghajtóra a következő parancsokkal (feltéve, hogy a flash meghajtó a "D:" meghajtó). Írja be külön az egyes parancsokat, majd nyomja le az Enter billentyűt:

    md D:\EFI\BOOT

    copy C:\windows\boot\efi\securebootrecovery.efi

    D:\EFI\BOOT\bootx64.efi

  3. Azon az eszközön, amelyen a Biztonságos rendszerindítási beállítások visszaállnak az alapértelmezett értékre, helyezze be a flash meghajtót, indítsa újra az eszközt, és indítsa el a flash meghajtóról.

Frissítések időzítése

Frissítések a következőképpen jelennek meg:

  • Kezdeti üzembe helyezés Ez a fázis a 2023. május 9-én kiadott frissítésekkel kezdődött, és alapvető kockázatcsökkentési megoldásokat biztosított a kockázatcsökkentések engedélyezéséhez szükséges manuális lépésekkel.

  • Második üzembe helyezés Ez a fázis a 2023. július 11-én kiadott frissítésekkel kezdődött, amelyek egyszerűsített lépésekkel lehetővé tették a probléma megoldását.

  • Kiértékelési fázis Ez a fázis 2024. április 9-én kezdődik, és további rendszerindítás-kezelői kockázatcsökkentéseket ad hozzá.

  • Végső üzembe helyezési fázis Ekkor bátorítjuk az összes ügyfelet a kockázatcsökkentések üzembe helyezésére és az adathordozók frissítésére.

  • Kényszerítési fázis A kényszerítési fázis, amely véglegessé teszi a kockázatcsökkentéseket. A fázis dátumát egy későbbi időpontban jelentik be.

Megjegyzés A kiadási ütemezés szükség szerint módosítható.

Ezt a fázist a Windows biztonsági frissítéseinek 2024. április 9-én vagy azt követően kiadott kiadása váltotta fel.

Ezt a fázist a Windows biztonsági frissítéseinek 2024. április 9-én vagy azt követően kiadott kiadása váltotta fel.

Ebben a fázisban azt kérjük, hogy tesztelje ezeket a módosításokat a környezetben, hogy a módosítások megfelelően működjenek a reprezentatív mintaeszközökkel, és hogy tapasztalatot szerezzen a változásokról.

MEGJEGYZÉS Ahelyett, hogy az előző üzembe helyezési fázisokban is teljes körűen felsorolnánk és nem megbízható sebezhető rendszerindítás-kezelőket keresnénk, hozzáadjuk a "Windows Production PCA 2011" aláíró tanúsítványt a Biztonságos rendszerindítás tiltása listához (DBX), hogy ne bízzunk a tanúsítvány által aláírt összes rendszerindítás-kezelőben. Ez megbízhatóbb módszer annak biztosítására, hogy az összes korábbi rendszerindítás-kezelő ne legyen megbízható.

Frissítések 2024. április 9-én vagy azt követően kiadott Windows rendszerhez adja hozzá a következőket:

  • Három új kockázatcsökkentési vezérlő, amelyek felváltják a 2023-ban kiadott kockázatcsökkentéseket. Az új kockázatcsökkentési vezérlők a következők:

    • Egy vezérlő, amely a "Windows UEFI CA 2023" tanúsítványt a biztonságos rendszerindítási adatbázisban helyezi üzembe, hogy megbízzon a tanúsítvány által aláírt Windows rendszerindítás-kezelőkben. Vegye figyelembe, hogy előfordulhat, hogy a "Windows UEFI CA 2023" tanúsítványt egy korábbi Windows-frissítés telepítette.

    • A "Windows UEFI CA 2023" tanúsítvány által aláírt rendszerindítás-kezelő üzembe helyezésére vonatkozó vezérlő.

    • A "Windows Production PCA 2011" hozzáadására szolgáló vezérlő a Biztonságos rendszerindítási DBX-hez, amely blokkolja a tanúsítvány által aláírt összes Windows rendszerindítás-kezelőt.

  • A kockázatcsökkentés üzembe helyezésének engedélyezése szakaszokban egymástól függetlenül, hogy az igényeinek megfelelően jobban szabályozhassa a kockázatcsökkentések üzembe helyezését a környezetben.

  • A kockázatcsökkentések egymáshoz vannak fonva, így nem helyezhetők üzembe helytelen sorrendben.

  • További események az eszközök állapotának megismeréséhez a kockázatcsökkentés alkalmazása során. Az eseményekkel kapcsolatos további részletekért lásd: KB5016061: Secure Boot DB és DBX változófrissítési események.

Ebben a fázisban arra biztatjuk az ügyfeleket, hogy megkezdjék a kockázatcsökkentések üzembe helyezését és a médiafrissítések kezelését. A frissítések a következő módosításokat fogják hozzáadni:

  • Útmutatás és eszközök a média frissítéséhez.

  • Frissült a DBX-blokk a további rendszerindítás-kezelők visszavonásához.

A kényszerítési fázis legalább hat hónappal az üzembe helyezési fázis után lesz. A kényszerítési fázishoz kiadott frissítések a következőket tartalmazzák:

  • A rendszer automatikusan visszavonja a "Windows production PCA 2011" tanúsítványt úgy, hogy hozzáadja a biztonságos rendszerindítási UEFI tiltott eszközök listájához (DBX) a kompatibilis eszközökön. Ezeket a frissítéseket a rendszer programozott módon érvényesíti, miután telepítette a Windows frissítéseit az összes érintett rendszerre, és nincs lehetőség a letiltásra.

A CVE-2023-24932-höz kapcsolódó Windows-eseménynapló-hibák

Az adatbázis és a DBX frissítésével kapcsolatos Windows-eseménynapló-bejegyzések részletes leírását a következő KB5016061: Secure Boot DB és DBX változófrissítési események.

A kockázatcsökkentések alkalmazásával kapcsolatos "sikeres" eseményeket az alábbi táblázat sorolja fel.

Kockázatcsökkentési lépés

Eseményazonosító

Megjegyzések

Az adatbázis-frissítés alkalmazása

1036

A PCA2023 tanúsítvány hozzá lett adva az adatbázishoz.

A rendszerindítás-kezelő frissítése

1799

A rendszer alkalmazta az PCA2023 aláírt rendszerindítás-kezelőt.

A DBX-frissítés alkalmazása

1037

Az aláíró tanúsítvány PCA2011 nem megbízható DBX-frissítés lett alkalmazva.

Gyakori kérdések (GYIK)

A visszavonások alkalmazása előtt frissítse az összes Windows operációs rendszert a 2024. április 9-én vagy azt követően kiadott frissítésekkel. Előfordulhat, hogy a visszavonás alkalmazása után nem tudja elindítani a Windows olyan verzióját, amely nem frissült legalább a 2024. április 9-én kiadott frissítésekre. Kövesse a Rendszerindítási problémák elhárítása című szakaszban található útmutatást.

Rendszerindítási problémák elhárítása

Mindhárom kockázatcsökkentés alkalmazása után az eszköz belső vezérlőprogramja nem indul el a Windows Production PCA 2011 által aláírt rendszerindítás-kezelővel. A belső vezérlőprogram által jelentett rendszerindítási hibák eszközspecifikusak. Tekintse meg a Helyreállítási eljárás szakaszt.

Helyreállítási eljárás

Ha hiba lép fel a kockázatcsökkentés alkalmazása közben, és nem tudja elindítani az eszközt, vagy külső adathordozóról (például egy pendrive-ról vagy PXE-rendszerindításról) kell indulnia, próbálkozzon az alábbi javaslatokkal:

  1. Kapcsolja ki a Biztonságos rendszerindítást.

    Ez az eljárás különbözik az eszközgyártóktól és a modellektől. Adja meg az eszközök UEFI BIOS menüjét, lépjen a Biztonságos rendszerindítási beállítások területre, és kapcsolja ki. A folyamatra vonatkozó részletekért tekintse meg az eszköz gyártójának dokumentációját. További információt a Biztonságos rendszerindítás letiltása című témakörben talál.

  2. Állítsa alaphelyzetbe a biztonságos rendszerindítási kulcsokat az alapértelmezett gyári beállításokra.

    Ha az eszköz támogatja a biztonságos rendszerindítási kulcsok gyári alapértékre állítását, most hajtsa végre ezt a műveletet.

    MEGJEGYZÉS Egyes eszközgyártók a Biztonságos rendszerindítás változók esetében "Clear" (Törlés) és "Reset" (Alaphelyzetbe állítás) beállítással is rendelkeznek, amely esetben a "Reset" (Alaphelyzetbe állítás) lehetőséget kell használni. A cél az, hogy a Secure Boot változókat visszahelyezzük a gyártók alapértelmezett értékeire.

    Az eszköznek most kell elindulnia, de vegye figyelembe, hogy sebezhető a boot-kit kártevők ellen. A biztonságos rendszerindítás újbóli engedélyezéséhez végezze el a helyreállítási folyamat 5. lépését.

  3. Próbálja meg elindítani a Windowst a rendszerlemezről.

    1. Bejelentkezés a Windowsba.

    2. Futtassa az alábbi parancsokat egy rendszergazdai parancssorból a rendszerindító fájlok visszaállításához az EFI rendszerindítási partíciójában. Írja be külön az egyes parancsokat, majd nyomja le az Enter billentyűt:

      Mountvol s: /s

      del s:\*.* /f /s /q

      bcdboot %systemroot% /s S:

    3. A BCDBoot futtatása a "Rendszerindító fájlok sikeresen létrehozva" értéket adja vissza. Az üzenet megjelenése után indítsa újra az eszközt a Windowsba.

  4. Ha a 3. lépés nem tudja helyreállítani az eszközt, telepítse újra a Windowst.

    1. Indítsa el az eszközt a meglévő helyreállítási adathordozóról.

    2. Folytassa a Windows telepítésével a helyreállítási adathordozó használatával.

    3. Bejelentkezés a Windowsba.

    4. Indítsa újra a Windowst annak ellenőrzéséhez, hogy az eszköz visszaindul-e a Windowsba.

  5. Engedélyezze újra a Biztonságos rendszerindítást, és indítsa újra az eszközt.

    Adja meg az eszköz UEFI menüjét, lépjen a Biztonságos rendszerindítási beállítások területre, és kapcsolja be. A folyamatra vonatkozó részletekért tekintse meg az eszköz gyártójának dokumentációját. További információt a Biztonságos rendszerindítás újbóli engedélyezése című szakaszban talál.

Referenciák

A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

A módosítás dátuma

A módosítás leírása

2024. április 9.

  • Az eljárások, információk, irányelvek és dátumok jelentős változásai. Vegye figyelembe, hogy néhány korábbi módosítás el lett távolítva az ezen a napon végrehajtott kiterjedt módosítások miatt.

2023. december 16., csütörtök

  • A harmadik üzembe helyezés és kényszerítés kiadási dátumait a "Frissítések időzítése" szakaszban módosítottuk.

2023. május 15.

  • Eltávolítottuk a nem támogatott operációsrendszer-Windows 10 21H1-es verzióját a "Hatókör" szakaszból.

2023. május 11.

  • Az "Üzembe helyezési irányelvek" szakasz 1. lépéséhez hozzáadtunk egy FIGYELMEZTETÉS megjegyzést a Windows 11, a 21H2 vagy a 22H2 verzióra, illetve a Windows 10 egyes verzióira való frissítésről.

2023. május 10.

  • Egyértelművé tette, hogy a letölthető Windows-adathordozók a legújabb összegző Frissítések hamarosan elérhetők lesznek.

  • Kijavítottuk a "Tiltott" szó helyesírását.

2023. május 9.

  • További támogatott verziók hozzáadva a "Hatókör" szakaszhoz.

  • Frissítettük a "Művelet végrehajtása" szakasz 1. lépését.

  • Frissítettük az "Üzembehelyezési irányelvek" szakasz 1. lépését.

  • Kijavítottuk a "Deploment guidelines" (Üzembe helyezési irányelvek) szakasz 3a. lépésében szereplő parancsokat.

  • Kijavítottuk a Hyper-V UEFI-lemezképek elhelyezését a "Rendszerindítási problémák elhárítása" szakaszban.

2023. június 27.

  • Eltávolítottuk az Windows 10 egy újabb verziójára való frissítésről szóló megjegyzést, amely egy engedélyező csomagot használó Windows 10 az "Üzembehelyezési irányelvek" szakasz 1.: Telepítés szakaszában található.

2023. július 11.

  • A "2023. május 9." dátum példányait "2023. július 11.", "2023. május 9., 2023. július 11." vagy "2023. május 9., vagy újabb" értékre frissítette.

  • Az "Üzembehelyezési irányelvek" szakaszban megjegyezzük, hogy a SafeOS összes dinamikus frissítése elérhető a WinRE-partíciók frissítéséhez. Emellett a FIGYELMEZTETÉS mező el lett távolítva, mert a problémát a SafeOS dinamikus frissítéseinek kiadása megoldotta.

  • A "3. ALKALMAZZA A visszavonások" szakaszt, az utasításokat módosítottuk.

  • A "Windows-eseménynapló hibái" szakaszban a rendszer hozzáadja a 276-os eseményazonosítót.

2023. augusztus 25.

  • A 2023. július 11-i kiadás és a 2024-es jövőbeli kiadás információi több szakaszt is frissítettek a szövegezéshez.

  • Egyes tartalmak átrendezése a "Rendszerindító adathordozóval kapcsolatos problémák elkerülése" szakaszból a "Rendszerindító adathordozó frissítése" szakaszba.

  • Frissítettük a "Frissítések időzítése" szakaszt a módosított üzembehelyezési dátumokkal és információkkal.
Facebook LinkedIn E-mail
FELIRATKOZÁS RSS-HÍRCSATORNÁKRA

További segítségre van szüksége?

További lehetőségeket szeretne?

Felfedezés Közösség

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.

Kérdezze meg a Microsoft-közösséget

Microsoft technikai közösség

Windows Insider-résztvevők

Microsoft 365 Insider-résztvevők

Hasznos volt ez az információ?

Mennyire elégedett a fordítás minőségével?
Mi volt hatással a felhasználói élményére?
Ha elküldi a visszajelzést, a Microsoft felhasználja azt a termékei és szolgáltatásai továbbfejlesztéséhez. Az informatikai rendszergazda képes lesz ezeket az adatokat összegyűjteni. Adatvédelmi nyilatkozat.

Köszönjük a visszajelzését!

×